IP meetingのパネル討論はけっこうもりあがった。普通、パネル討論というと、最初のパネリストの講演だけで時間の大半を潰して、ぜんぜん議論にならないというのがありがちなのだが、今回は違った。会場からも良い質問が多数飛び出してよかった。山口先生のモデレートもグッド。
私の使ったスライドは公開している。
最初のご質問は、個人情報保護法は高木が思っているほど弱くないというご指摘だった。私が懸念として話したことは、氏名を特定しないIDで私事性情報が蓄積されていき、あるとき、IDと氏名の対応表を販売する裏業者が現れると、蓄積された過去の情報までもが誰のものであるかわかってしまうというものなのだが、ここで脱法行為をするのは名簿を販売する裏業者だけという想定をしていた。それに対して質問者の指摘は、その名簿を買った事業者も、氏名を特定した時点で本人にその事実を開示する義務が生ずるというものだった。個人情報を本人から直接収集するのでなしに、他から後で収集して特定した場合も、個人情報保護法の対象となるというわけだ。なるほどそれは了解した。それでもなお心配なのは、IDが誰のものであるか突合せ可能になるのは事業者とは限らない(たとえば、目前にいる人については名簿を購入するまでもないし)わけで、IDだけだからという理由で無制限に私事性情報が蓄積されて、果てしなくポテンシャルが高まっていくが、それでよいのか? ということを答えた。
次のご質問は、自分は自動車運転免許証を持たないので、いつも身分証明に苦労しており、住基カードに期待しているのだが、それの民間利用が禁止されるのは困るという話だった。質問者は住基カードが身分証明書として使えないと言っていたが、住基カード(住所が記載されている写真つきのタイプの場合)は、免許証同様に身分証明書として使えるはずだと答えた。改めて確認してみると、総務省の説明では次のようになっていた。
公的な身分証明書として使えます
現在、運転免許証などをお持ちではない方は、身分証明書を求められて困ることがあると思います。
住民基本台帳カードは、氏名のみが印字されたAバージョンと写真と氏名・生年月日・性別・住所を印字したBバージョンがあり、希望のカードを選択することができます。
写真付きの住民基本台帳カード(Bバージョン)は、市町村長が交付する公的な身分証明書として、パスポートの交付申請の際の本人確認などに使うことができると考えています。
民間利用が禁止されているのは住民票コードである。住基カードに住民票コードは印字されていない。カード内の住民票コードの読み出しは、役所の権限を持つリーダだけである(はず)。運転免許証のように使えるという総務省の説明からすれば、カードを見せるという方法で身分証明に使うのは推奨されているように読める。ただ、例として、「パスポートの交付申請の際の本人確認などに」という、公的な場面だけを挙げており、レンタルビデオ店の会員契約や、銀行での本人確認に使えるということは積極的には謳っていないようだ。だが、自治体の説明を見ると、
現在、運転免許証などをお持ちではない方は、身分証明書を求められて困ることがあると思います。(略)
写真付きの住民基本台帳カード(Bバージョン)は、公的な身分証明書として、金融機関で口座を開設するときや、携帯電話を新規購入する場合などに、運転免許証などと同様に身分証明書として利用できます。
といったように、使えることになっている。
このご質問は、今回のパネル討論のテーマからはいささか外れたものだったと思うが、私が「共通IDを避けるべき」という主張をしたため、それでは困るということをおっしゃりたかったのだろうと思う。私が言いたかったのは、すべての共通IDを排除せよということではない。実際、住所氏名というものも共通IDであるわけだが、それを無くせというのはおかしいだろう。目的に応じて必要最小限の個人特定をなすべきなのに、あらゆる消費生活の場で共通IDが使われるようになってしまってよいのか? というのが問題提起である。……ということを答えた。
他には、完璧を求めなくても適当なところで落ち着くのではないかというような趣旨のコメントを頂いた。たしかに、固定IPアドレスの件の個別論では、全部のIPアドレスを非固定にする必要はない。なぜなら、ある程度以上の割合のIPアドレスが非固定であるなら、どれが固定かわからない状況では、それを消費者追跡には使えないということになるからだ。現状がまさにそういう状況である。重要なことは、こうした技術の設計に携わる者が、こうした問題の存在を理解して、問題が起きる水準まで悪化することを避けるように行動することだ。……ということを答えた。
一般論として、「何事も中庸」で済むのかという点については、一般論で議論しても論理的な帰結は生まれないだろう。RFIDタグの場合ではどうか。RFIDタグのプライバシー懸念と対策を語る際に、中庸というのが具体的に何を意味するのかはよくわからない。
村井先生からのご質問では、私が、クレジットカードの場合は契約でしばられているので問題が別だと話したことに対して、情報を他の目的で使うということが約款に書かれているカードもあるとのご指摘だった。後で見せていただけるとのことだったが、推察するに、それは、そのカードでどんなものを買ったかの記録がマーケに使われるという話ではないかと思う。その意味であるなら、それは当然あり得るだろう。私が述べたのは、それではなく、一般の店舗が、顧客の購買動向を分析するにあたって、共通IDとしてクレジットカード番号を流用するということが、カード会社と店舗との間の契約で禁止されているのではないか? ということだ。(といっても、私もそれを確認したわけではないので、本当にそうかはわからない。) この議論で重要なのは、事業者による私事性情報利用を消費者が契約で同意しているか否かの話と、社会インフラとなるシステムの設計として適切か不適切かの話とを、きっちり分けて議論することである。(それについてのスライドを用意していたが時間がなくて出せなかった。)
山口モデレータからは、対策にはコスト負担がかかりそれは消費者に跳ね返るが、利便性のためコストはかけなくてはならないのかというツッコミが入った。これには答えに窮してしまい、「私は何かに反対しているわけではなくてこういう論点があるということを整理しているだけであり、最終的にはコストと技術対策のバランスになるとしか言いようがない」というようなことを答えたと記憶しているが、当日言いそびれたのは、それはセキュリティ対策だって同じだということだ。
「セキュリティ対策をしっかりしなくてはならない」ということが叫ばれる一方で、それにはコストがかかるのであり、そのコストは消費者に跳ね返ってくる。いまだかつてない利便性をこれから実現するにあたって、それが本質的にコストのかかるものであるなら、それを見て見ぬふりして安かろう悪かろうのまま進めてしまうのはどうなのかということだ。Webアプリケーションのセキュリティが危ない実態の話だって同じで、多くの事業者はWebアプリが危なっかしいものだと知らずに、これは便利だと、セキュリティ対策をきっちりしないままに始めたと推定される。元々必要だったコストのことを知らなかっただけだ。
もうひとつは、Webサイトのセキュリティ対策の話では、対策とコストのバランスをサイトごとに自由に決められるので、安かろう悪かろうの店を選ぶか、信頼ある店を選ぶか、消費者に選択の余地があるのに対して、RFIDタグを消費財に埋め込む話では、それは社会インフラの設計の話であって、消費者に選択の余地がない(無効化の選択はできるにしても、タグを付けないメーカーを選ぶ余地はない)と思われる。
最後に、CASPIANの活動についてどう思うかというモデレータからの問いかけに対し、中村さんが、批判する勢力があることは大切という趣旨のことを述べられたことに関連して、マスメディアのあり方が話題にのぼった。それについて私が述べたのは、日本では国に対する批判は行われるが、民間のシステムに対する批判的な記事が出ることはほとんどないという点。日本では、反対を目的とする運動の中で指摘された問題点が見向きされないという問題があり、かつ、ITの高度化によって技術者でなくては問題点を論理的に指摘できなくなってきているため、技術者ひとりひとりが本当のことを言っていくことが大切。わかっている技術者は少なくないはずなのに声が表立って出てこない。「おまえら本当のことをちゃんと言ってください!」と述べた。
先月、ある方から、MITのRFID Privacy WorkshopでCASPIANが配布したポジションステートメントが、ダウンロードできる状態で公開されているとの情報を頂いた。
その後、賛同者が追加されて以下で公開されていると、山根さんに教えていただいた。
ここには、どのようなプライバシーの脅威があり、どんな責任が果たされるべきか、また、問題のない使い方としてどのようなものがあるかについて、具体的に整理されている。また、「RFIDタグには限界があるからたいしてプライバシーは問題でない」とする主張に対する反論と、現状で提案されている解決法に対する批評が添えられている。